Le groupe de piratage Lapsus$ prétend avoir divulgué le code source de Bing, Cortana et d’autres projets volés sur le serveur Azure DevOps interne de Microsoft.
Tôt dimanche matin, le gang Lapsus$ a publié une capture d’écran sur sa chaîne Telegram indiquant qu’il avait piraté le serveur Azure DevOps de Microsoft contenant le code source pour Bing, Cortana et divers autres projets internes.
Lundi soir, le groupe de piratage a publié un torrent pour une archive 7zip de 9 Go contenant le code source de plus de 250 projets qui, selon eux, appartiennent à Microsoft.
Lors de la publication du torrent, Lapsus$ a déclaré qu’il contenait 90 % du code source de Bing et environ 45 % du code de Bing Maps et Cortana.
Même s’ils disent qu’une partie seulement du code source a été divulguée, EZpublish-france.fr apprend que l’archive non compressée contient environ 37 Go de code source appartenant prétendument à Microsoft.
Les chercheurs en sécurité qui se sont penchés sur les fichiers divulgués ont déclaré à EZpublish-france.fr qu’ils semblaient être du code source interne légitime de Microsoft.
De plus, on nous dit que certains des projets divulgués contiennent des e-mails et de la documentation qui ont clairement été utilisés en interne par les ingénieurs de Microsoft pour publier des applications mobiles.
Les projets semblent concerner une infrastructure Web, des sites Web ou des applications mobiles, sans code source pour les logiciels de bureau Microsoft publiés, y compris Windows, Windows Server et Microsoft Office.
Lorsque nous avons contacté Microsoft à propos de la fuite de code source de ce soir, ils ont continué à dire à EZpublish-france.fr qu’ils étaient au courant des allégations et qu’ils enquêtaient.
Lapsus$ fuit des données à gauche et à droite
Lapsus$ est un groupe de piratage d’extorsion de données qui compromet les systèmes d’entreprise pour voler le code source, les listes de clients, les bases de données et d’autres données précieuses. Ils tentent ensuite d’extorquer la victime avec des demandes de rançon pour ne pas divulguer publiquement les données.
Au cours des derniers mois, Lapsus$ a révélé de nombreuses cyberattaques contre de grandes entreprises, avec des attaques confirmées contre NVIDIA, Samsung, Vodafone, Ubisoft et Mercado Libre.
Jusqu’à présent, la plupart des attaques ont ciblé des référentiels de code source, permettant aux acteurs de la menace de voler des données propriétaires sensibles, telles que la technologie Lite Hash Rate (LHR) de NVIDIA qui permet aux cartes graphiques de réduire la capacité d’extraction d’un GPU.
On ne sait pas comment les acteurs de la menace pénètrent dans ces référentiels, mais certains chercheurs en sécurité pensent qu’ils paient des initiés de l’entreprise pour y accéder.
« De mon point de vue, ils continuent d’obtenir leur accès en utilisant des initiés de l’entreprise », analyste des renseignements sur les menaces Tom Malka dit EZpublish-france.fr.
Cette théorie n’est pas farfelue, car Lapsus$ a précédemment annoncé qu’il était prêt à acheter l’accès aux réseaux des employés.
Cependant, cela peut être plus que cela, car Lapsus $ a publié des captures d’écran de leur accès à ce qu’ils prétendent être les sites Web internes d’Okta. Comme Okta est une plate-forme d’authentification et de gestion des identités, si Lapsus$ parvenait à percer l’entreprise, ils pourraient potentiellement l’utiliser comme tremplin pour les clients de l’entreprise.
Quant à Lapsus$, ils ont développé un large public sur Telegram, avec plus de 33 000 abonnés sur leur chaîne principale et plus de 8 000 sur leur chaîne de chat.
Le groupe d’extorsion utilise leurs chaînes Telegram très actives pour annoncer de nouvelles fuites, attaques et discuter avec leurs fans, et ils semblent profiter de la notoriété.
Avec le Fermeture du forum RaidForums sur la violation de donnéesnous voyons probablement de nombreux habitués de ce site interagir maintenant ensemble sur les chaînes Telegram de Lapsus $.
Pour le moment, nous verrons probablement plus de violations à venir pendant que Lapsus $ et leurs fans célèbrent les fuites de données.